ThiefQuest.F
ThiefQuest.F surgió en julio de este año y es una amenaza de malware que se dirige a las computadoras macOS. También conocido como EvilQuest, sus principales características son encriptar archivos e instalar keyloggers en los sistemas de destino. El método de proliferación más común de ThiefQuest.F parece ser los sitios web de torrents populares, ya que los investigadores de malware han detectado el ejecutable malicioso dentro de versiones pirateadas de macOS compartidas en dichos sitios. Según algunos informes publicados, un análisis profundo indica que la actividad del ransomware no es actualmente el objetivo principal de los ataques ThiefQuest.F. Más bien, los investigadores creen que el mecanismo de cifrado de archivos es un movimiento precursor utilizado para disfrazar las otras capacidades de esta amenaza, a saber, el registro de teclas, la exfiltración de archivos y la comunicación de comando y control (C&C).
Los expertos en malware ya han analizado varias versiones de ThiefQuest.F, por lo que las últimas están equipadas con capacidades más fuertes y parecen haber ocurrido solo unos días después de las variantes más antiguas. Curiosamente, los piratas informáticos detrás de ThiefQuest.F han eliminado el comportamiento del ransomware en las últimas versiones, mientras que se han agregado varias características nuevas que implementan una nueva rutina para computar y llamar a las direcciones de las nuevas funciones. Las nuevas partes se refieren a la capacidad del malware para leer y adjuntar la carga útil, el método de compresión y descompresión de paquetes y el procedimiento de generación de direcciones IP a partir de números aleatorios que, si tienen éxito, se utilizan como direcciones de servidor C&C. Las muestras recientemente analizadas de ThiefQuest.F también incluyen técnicas mejoradas de anti-detección.
Habiendo observado estas nuevas variantes y sus características mejoradas, los investigadores de malware asumen que los actores de amenazas detrás de ThiefQuest.F tienen planes futuros, y volveremos a tener noticias de ellos muy pronto.
